CentOS 7.2 部署 Squid 代理服务器：高效缓存与访问控制指南

在 CentOS 7.2 服务器上部署 Squid 代理服务，是提升网络访问效率、管理流量并增强安全性的有效方案，Squid 作为一款成熟的开源代理缓存服务器，能显著优化带宽使用，加速网页加载速度,并对用户访问实施精细控制。

Squid 核心价值与部署基础

1. 为何选择 Squid？

   
   • 加速访问： 缓存频繁请求的网页与文件，减少重复下载,用户获取内容更快。
   • 节省带宽： 大幅降低对原始服务器的请求量,有效节约出口带宽成本。
   • 访问管控： 灵活定义访问规则（允许/拒绝特定网站、IP、时间段、用户等）。
   • 增强安全： 作为内部客户端与互联网的中间层,可过滤恶意内容并隐藏内部网络结构。
   • 日志审计： 详细记录用户访问信息,便于流量分析与问题排查。

2. CentOS 7.2 准备工作

   • 确保系统为最新状态：

      sudo yum update -y
      sudo reboot # 如内核更新则需重启

   • 开放 Squid 默认端口（通常为 3128）：

      sudo firewall-cmd --zone=public --add-port=3128/tcp --permanent
      sudo firewall-cmd --reload

Squid 安装与基础配置

1. 安装 Squid 通过 YUM 软件包管理器轻松安装：

   sudo yum install squid -y

2. 启动与设置开机自启

   sudo systemctl start squid
   sudo systemctl enable squid

3. 验证运行状态

   sudo systemctl status squid
   # 应看到 'active (running)' 状态

4. 关键配置文件：/etc/squid/squid.conf

   • 备份原始配置：

      sudo cp /etc/squid/squid.conf /etc/squid/squid.conf.original

   • 定义本地网络访问权限： 找到 http_access deny all 行，在其上方添加允许内部网络的规则（例如内部网段为 192.168.1.0/24）：

      acl local_net src 192.168.1.0/24
      http_access allow local_net

   • 设置监听端口： 确认 http_port 指令（默认为 3128）符合需求。

5. 应用配置更改

   

   sudo systemctl reload squid  # 平滑重载配置，不影响现有连接
   # 或使用 restart 强制重启
   sudo systemctl restart squid

实现关键功能：访问控制列表 (ACL)

ACL 是 Squid 实现精细化管理的核心，通过定义 ACL 规则并将其与 http_access 指令结合,控制访问权限。

1. 常用 ACL 类型示例

   • 按源 IP/网段控制：

      acl marketing_dept src 192.168.1.50-192.168.1.100
      acl remote_branch src 203.0.113.25

   • 按目标域名或 URL 控制：

      acl social_media dstdomain .facebook.com .twitter.com .instagram.com
      acl downloads url_regex -i \.exe$ \.zip$ \.rar$ \.msi$

   • 按访问时间控制：

      acl work_hours time MTWHF 08:00-17:00
      acl weekend time SA

   • 按用户名/密码认证控制： (需先配置认证方式，如 Basic Auth)

2. 组合 ACL 应用访问策略

   # 允许市场部在工作时间访问社交媒体
   http_access allow marketing_dept work_hours social_media
   # 拒绝所有用户在任意时间下载特定文件类型
   http_access deny downloads
   # 允许远程分支访问
   http_access allow remote_branch
   # 最后拒绝所有未明确允许的访问
   http_access deny all

   规则顺序至关重要，Squid 按从上到下的顺序匹配。

性能优化与安全加固

1. 缓存优化提升效率

   • 调整缓存目录大小与结构：

      # 定义缓存目录 (/var/spool/squid)，使用 5000MB 空间，一级子目录 16 个，二级子目录 256 个
      cache_dir ufs /var/spool/squid 5000 16 256

   • 合理分配内存缓存 (cache_mem): 根据服务器物理内存调整，通常设置为总内存的 1/3 左右（256 MB 或 512 MB）。
   • 设置缓存对象大小限制 (maximum_object_size): 避免缓存过大的文件（256 MB）。

2. 安全加固措施

   
   • 最小化监听范围： 使用 http_port 绑定特定管理 IP 而非 0.0.0（如果代理仅服务内网）。

      http_port 192.168.1.10:3128

   • 禁用危险的 ICAP 或 ICAP 服务： 除非明确需要,保持默认禁用状态。
   • 配置 visible_hostname： 避免泄露内部主机名。

      visible_hostname proxy.yourcompany.com

   • 启用 SELinux 并配置正确上下文：

      sudo setsebool -P squid_connect_any 1  # 允许 Squid 连接到所有网络端口
      sudo restorecon -Rv /var/spool/squid   # 确保缓存目录上下文正确
      sudo restorecon -Rv /var/log/squid     # 确保日志目录上下文正确

   • 定期监控日志 (/var/log/squid/access.log, cache.log): 分析访问模式,识别异常行为。

客户端配置与验证

1. 配置客户端 在需要代理的客户端设备（浏览器或系统网络设置）中，手动指定代理服务器地址为 CentOS 7.2 服务器的 IP 和端口（如 192.168.1.10:3128）。

2. 验证代理功能

   • 访问普通网站,确认速度是否因缓存而提升。
   • 尝试访问被 ACL 规则明确拒绝的网站（如定义的社交媒体或下载特定类型文件）,检查是否被正确阻止。
   • 检查 Squid 访问日志 (tail -f /var/log/squid/access.log) 观察请求记录。